Databricks アカウント コンソールでの SSO

この記事では、組織の ID プロバイダーを使用して、アカウント コンソールと Databricks ワークスペースに対して認証を行うためにシングル サインオン (SSO) を構成する方法を説明します。 ID プロバイダーからユーザーとグループを同期するには、 「ID プロバイダーからユーザーとグループを同期する」を参照してください。

SSO 設定の概要

SSO は、SAML 2.0 またはOpenID Connect (OIDC) のいずれかの使用をサポートします。 ID プロバイダー (IdP) は、これらのプロトコルの少なくとも 1 つをサポートしている必要があります。

アカウント コンソールで SSO を有効にしたら、統合ログインを有効にすることを選択できます。 統合ログインを使用すると、アカウントと Databricks ワークスペースに使用される 1 つの SSO 構成をアカウントで管理できます。 アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。 詳細については、 「統合ログインを有効にする」を参照してください。

統合ログインが無効になっているワークスペースでは、ワークスペースレベルのSSO個別に構成する必要があります。 詳細については、「ワークスペースのSSOを設定する」を参照してください。

以下のIDプロバイダーへのSSOを構成する方法についての手順を確認することができます。

• Microsoft Entra ID (旧 Azure Active Directory)

• Okta(オクタ)

• 1回のログイン

このプロセスは、OIDC または SAML 2.0 をサポートするどの ID プロバイダーでも同様です。 ご使用の ID プロバイダーが上記に記載されていない場合は、 OIDCまたはSAMLの手順に従ってください。

アカウントサインインプロセス

アカウントレベルの SSO が有効になっている場合、サインインの動作は次のようになります。

• 管理者を含むすべてのユーザーは、シングル サインオンを使用して、Databricks アカウントおよび統合ログインが有効なワークスペースにサインインする必要があります。 緊急アクセス用に選択されたユーザーは、ユーザー名とパスワード、および FIDO 2 ハードウェア セキュリティ キーを使用してログインできます。 アカウントが 2023 年 6 月 21 日より前に作成された場合、アカウント所有者はユーザー名とパスワードを使用して Databricks アカウントにログインすることもできます。

• アカウント管理者は、ユーザー名とパスワードを使用して、アカウントレベルのREST APIコールを行うことができます。

• すべてのユーザーは、ユーザー名とパスワードを使用して、ワークスペース レベルの REST API 呼び出しを行うことができます。 基本認証はレガシーであり、本番運用では推奨されません。

SSOが有効になっている場合のワークスペースのサインイン プロセスの詳細については、 「ワークスペースのサインイン プロセス」を参照してください。

統合ログインを有効にする

プレビュー

統合ログインは現在、2023 年 6 月 21 日より前に作成されたアカウントに対してパブリック プレビュー中です。 統合ログインは、2023 年 6 月 21 日以降に作成されたアカウントで一般的に利用可能になります。

統合ログインを使用すると、アカウントと Databricks ワークスペースに使用される 1 つの SSO 構成をアカウントで管理できます。 アカウントで SSO が有効になっている場合は、すべてのワークスペースまたは選択したワークスペースに対して統合ログインを有効にすることを選択できます。 統合ログイン ワークスペース は アカウント レベルのSSO 構成を使用するため、 アカウント および ワークスペース 管理者を含むすべてのユーザーはDatabricks を使用してSSO にサインインする必要があります。統合ログインが有効になっているワークスペースでは、ワークスペース レベルで SSO を個別に管理することはできません。 Databricks では、すべてのワークスペースに対して統合ログインを構成することをお勧めします。

アカウントが 2023 年 6 月 21 日以降に作成された場合、統合ログインは、新規および既存のすべてのワークスペースに対してアカウントでデフォルトで有効になっており、無効にすることはできません。

アカウント コンソールまたはワークスペース管理者設定ページを使用して、統合ログインを有効にできます。

アカウントコンソールを使用して統合ログインを有効にする

統合ログインを有効にするには、アカウントで SSO を有効にする必要があります。

1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. 統合ログインで、[開始する] をクリックします。

4. アカウント レベルの SSO 構成で、すべてのワークスペース ユーザーが ID プロバイダーにアクセスできることを確認します。 「 確認」をクリックします。

5. 統合ログインをすべてのワークスペースに適用するか、選択したワークスペースに適用するかを選択します。 Databricks では、すべてのワークスペースに対して統合ログインを有効にすることをお勧めします。 ユーザーとワークスペース間のプライベート接続を構成するワークスペースで統合ログインを有効にするには、追加のステップが必要です。 「ステップ 5: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。

   [選択したワークスペース]を選択した場合は、新しく作成されたワークスペースに設定を適用することを選択し、設定を適用する既存のワークスペースを選択します。

6. 「保存」をクリックします。

ワークスペース管理者設定ページを使用して統合ログインを有効にする

アカウント管理者が選択したワークスペースで統合ログインを有効にした場合、ワークスペース管理者は自分のワークスペースで統合ログインを有効にできます。 すべてのワークスペースで統合ログインが有効になっている場合、ワークスペース レベルでシングル サインオン構成は使用できません。

ユーザーとワークスペースのプライベート接続を構成するワークスペースで統合ログインを有効にするには、追加のステップを構成する必要があります。 「ステップ 5: (オプション) 統合ログインを使用してフロントエンド PrivateLink を構成する」を参照してください。

1. ワークスペース管理者として、Databrickワークスペースにログインします。

2. Databricks ワークスペースの上部バーにあるユーザー名をクリックし、 [設定]を選択します。

3. [IDとアクセス]タブをクリックします。

4. SSO 設定の横にある[管理] をクリックします。

5. [統合ログイン] の横にある [有効にする] をクリックします。

統合ログインへのアップグレード

ワークスペース レベルの SSO が構成された既存のワークスペースで統合ログインを有効にする場合は、次の手順を実行します。

1. アカウントにシングル サインオンを設定します。

2. ワークスペース内のユーザーが、ID プロバイダーのアカウント レベルの SSO アプリケーションにアクセスできることを確認します。

   ユーザーにアカウント レベルの SSO アプリケーションへのアクセスを許可しても、Databricks での追加アクセスは許可されません。 すべての Databricks ワークスペース ユーザーは、自動的に Databricks アカウントのユーザーになります。 「管理者はどのようにしてユーザーをアカウントに割り当てるのですか?」を参照してください。

3. 「統合ログインを有効にする」に従って、ワークスペースで統合ログインを構成します。

4. ワークスペース ユーザーにサインインしてもらい、ワークスペースで SSO をテストします。

5. ID プロバイダーのワークスペース レベルの SSO アプリケーションを廃止します。

緊急アクセスの構成

プレビュー

この機能は プライベート プレビュー段階です。 このプレビューに参加するには、Databricks アカウント チームにお問い合わせください。

ロックアウトを防ぐために、アカウント管理者は、セキュリティ キーを使用した多要素認証を介して最大 10 人のユーザーが Databricks にログインできるように緊急アクセスを構成できます。 Databricks では、緊急アクセスを使用してサインインするために、強力なパスワードと少なくとも 1 つの FIDO 2 ハードウェア セキュリティ キーを構成することを推奨しています。

エマージェンシー・アクセスを構成するには:

1. アカウント管理者としてアカウント コンソールにログインし、サイドバーの設定アイコンをクリックします。

2. 「シングルサインオン」タブをクリックします。

3. [緊急アクセス] で、緊急アクセスを使用してサインインできるユーザーを最大 10 人選択します。これらのユーザーはセキュリティ キーを登録する必要があります。

4. [保存]をクリックします。

   ユーザーがセキュリティ キー管理ページを表示するまでに最大 2 分かかる場合があります。

緊急アクセス用のセキュリティキーを登録する

セキュリティ キーを登録するには:

1. 緊急アクセス権を持つユーザーとして、アカウント コンソールにログインします。

2. 右上隅にあるユーザー名の横にある下向き矢印をクリックします。

3. [ ユーザー設定] をクリックします。

4. 「認証」で、「キーの追加」をクリックします。

   キーを追加するには、パスワードを設定する必要があります。 まだパスワードを設定していない場合は、まずパスワードをリセットするように求めるプロンプトが表示されます。

5. [ 設定 ] をクリックし、ブラウザーの指示に従ってキーを構成します。

キーを構成すると、セキュリティ キーが正常に追加されたことを示す Databricks 通知が表示されます。

セキュリティキーを使用してDatabricksにログインする

緊急アクセスとセキュリティキーを使用してログインするには:

1. 緊急アクセス権を持つユーザーとして、アカウント コンソールに移動します。

2. 「Databricks 資格情報でサインイン」をクリックします。

3. ユーザー名とパスワードを入力します。 [ 続行] をクリックします。

4. ブラウザのプロンプトに従って、セキュリティ キーを使用します。